Jump to content

Recommended Posts

Добрый день!

Сейчас на нашем предприятии используется VipNet Client 3.6 для доступа к системе ЭТРАН РЖД.
В связи с выходом новых операционных систем типа Windows 10 возникла необходимость перехода на версию VipNet Client 4.3.
Но тут возникла проблема - дело в том что в версии VipNet Client 4.3 отсутствует возможность настройки клиента через межсетевой экран со статической трансляцией адресов.
Отсутствует поле где указывается внешний адрес и порт инкапсуляции, какими мы пользовались для настройки доступа клиентов.

Подскажите как решить данную проблему?

Как настроить клиентов 4.3 для работы через MicroSoft TMG?

Share this post


Link to post
Share on other sites

У вас наверно какая то специальная версия, может для вас писали её, т.к. вроде больше чем 3.2 не было сборок и на этом всё закончилось.

На второе версия 3 уже давно потеряла браво на использование по требованию ФСБ и только из за разных сложностей остаётся пока в работе или там где использую просто для себя.

Про настройки не совсем понятно т.к. обычно вы настраиваете рабочее место (сеть), а в 4-м очень хорошо сделано, что он сам "понимает" теперь динамика или статика там на координаторе и находит его. Или я просто не понял что у вас точно было. Я уверен если отписать к администрации вашей системы, там точно должны сказать т.к. думаю это всё же не просто так и потому 4-я версия это им уже известно.

Share this post


Link to post
Share on other sites
1 час назад, AleksGhost сказал:

Как настроить клиентов 4.3 для работы через MicroSoft TMG? 

Динамическая трансляция по протоколу UDP.  В 4-ом клиенте всегда динамика. Можно зафиксировать порт UDP:

image.png

 

 

Share this post


Link to post
Share on other sites
14 часов назад, zero сказал:

Динамическая трансляция по протоколу UDP.  В 4-ом клиенте всегда динамика. Можно зафиксировать порт UDP:

Пробовал фиксировать, однако не работает. Отсюда и возник вопрос.
Может можно вернуть это поле внешнего адреса или прописать его где-нибудь в реестре?
Может есть более подробная инструкция по каждому пункту настроек. Какая настройка за что отвечает?
Типа пошаговой схемы как работает VipNet Client и какие настройки использует на каждом шаге?

15 часов назад, Vintik сказал:

а в 4-м очень хорошо сделано, что он сам "понимает" теперь динамика или статика там на координаторе и находит его

До координатора как раз еще добраться нада. И клиент VipNet ничего в прокси MS TMG к сожалению не понимает.

Схема подключения клиентов Client->MS TMG->InterNet->Coordinator РЖД

Share this post


Link to post
Share on other sites

Странно, а ваш прокси раньше как пропускал?

Я бы на вашем месте собрал краткое описание, ка на пример вы тут начали мин. схему рисовать, но только чуть более детальную и хорошо если с пока рабочей схемой и адресами, но только всё это НЕ ТУТ показывать (т.к. это может быть тоже вашей конфой) а именно но сапорт инфотекса отписать. Они могут вам точно ответить.

Share this post


Link to post
Share on other sites

Клиенты 3.6 и сейчас работают.
Но эти клиенты не работают на Windows 10.
Клиенты 4.3 работают на на Windows 10, но не работают через TMG, так как в настройках клиента убрали поле внешнего адреса.

Share this post


Link to post
Share on other sites

Извините за неполезность инфы, но по факту TMG мертв и клиент 3.х тоже - итого решаете проблемы которых не должно быть. Надо на NGFW менять TMG.

Можно попробовать решить проблему как это делали с UserGate - сделать проброс порта координатора из внутренней сети на внешний адрес координатора и у клиента указать в IP адресах адрес TMG. Ещё у 4 ого координатора есть возможность работать по tcp как раз для решения проблем с прокси - может это вариант.

Share this post


Link to post
Share on other sites
1 час назад, KIV сказал:

Извините за неполезность инфы, но по факту TMG мертв и клиент 3.х тоже - итого решаете проблемы которых не должно быть. Надо на NGFW менять TMG.

Конечно поддержка TMG прекращена, но достойную замену по возможностям и функционалу очень трудно подобрать. Да и заем менять если работает как часы. Замена требует инвестиций. И просто так на большом предприятии >700 компов заменить прокси не тривиальная задача. VipNet Client 3.6 через него работал проблема как с новой 4.3 версией. Поэтому решаю одну проблему за 1 раз. :) 

Координатором рулить нет возможности. Так как у РЖД свои правила, и заморочки и ради 1 клиента из сотен никто париться не будет. С ними очень трудно что-то порешать.

Share this post


Link to post
Share on other sites
29 минут назад, AleksGhost сказал:

VipNet Client 3.6

Никогда такой версии не было. На 3.2 все закончилось.

29 минут назад, AleksGhost сказал:

проблема как с новой 4.3 версией

 Если уйти от Випнет. Допустим Вам надо выпустить 10 ПК в интернет через нат на TMG. Динамический нат. На ПК Вы же ничего нигде не задаете, кроме шлюза. Никакие порты не фиксируете, ибо они динамически выделяются из пула 1024-65535. 

А для Випнет такой же нат, но для UDP протокола. И тоже нет никакой необходимости фиксировать порт.

С клиента уёдет пакет с произвольного порта из диапазона 1024-65535 по протоколу upd на адрес координатора, порт 55777 (или какой там у вас в настройках стоит). Этот пакет нужно занатить во внешний адрес Вашего TMG, порт источника можно не трогать. Ну и пропустить пакет от координатора обратно на клиент. Всё.

Неужели TMG такой древний, что не умеет делать динамический нат? Может обсуждение стоит вести на форуме TMG? А если действительно не умеет, то выкинуть его нужно было уже давно и без всякого сожаления.

5 часов назад, AleksGhost сказал:

И клиент VipNet ничего в прокси MS TMG к сожалению не понимает.

Уже предложили Выше использовать tcp-туннель, но это должно поддерживаться со стороны координатора. И прокси должен работать в прозрачном режиме, а координатор на 80 порту, так как задать адрес и порт прокси в клиенте нельзя.

Share this post


Link to post
Share on other sites
21 час назад, Vintik сказал:

вроде больше чем 3.2 не было сборок и на этом всё закончилось.

Вы правы я тут ошибся в версии. Видимо с CryptoPro запомнился номер (последняя версия VipNet Client которая у меня есть 3.2.12)

Но суть моей проблемы к сожалению это не решает.

Share this post


Link to post
Share on other sites

Вам уже все ответили по сути проблемы, настройте нормально nat. Весь функционал ната поддерживался еще в ISA, уже не говоря про TMG.

Share this post


Link to post
Share on other sites
В 07.09.2018 в 15:11, R.Sheyn сказал:

Вам уже все ответили по сути проблемы, настройте нормально nat. Весь функционал ната поддерживался еще в ISA, уже не говоря про TMG.

Все настроено нормально. Работает множество клиентов, приложений и серверов. Кроме новой версии VipNet Client.

К сожалению видимо действительно по сути проблемы никто тут не может подсказать. Это нужно к разработчикам. Тему можно закрыть.

Share this post


Link to post
Share on other sites

Не уверен, что разработчики или поддержка Инфотекс будут разбираться с Вашим межсетевым экраном.

Share this post


Link to post
Share on other sites
1 час назад, azz сказал:

Не уверен, что разработчики или поддержка Инфотекс будут разбираться с Вашим межсетевым экраном.

Дело же не в межсетевом экране.

Зато комментаторов, которые даже не пытаются понять суть проблемы полно.

Share this post


Link to post
Share on other sites

А Вы на своём МЭ видите трафик udp 55777? Зафикируйте udp порт инкапсуляции в клиенте, пропишите маршрут до координатора через Ваш МЭ, проверьте, что трафик доходит до Вашего МЭ и выходит с него, если у Вас статическая трансляция(ViPNet Client 4 будет каждый раз использовать случайный порт источника), то подмените порт источника на 55777, чтобы входящий трафик был по тому же порту.

Share this post


Link to post
Share on other sites
2 часа назад, AleksGhost сказал:

Дело же не в межсетевом экране.

Зато комментаторов, которые даже не пытаются понять суть проблемы полно.

Ну конечно не в МЭ. У всей страны работает через что только возможно, через линуксы, домашние роутеры, циски, фортигейты и чекпоинты, даже через траффик инспекторы, только через коварный TMG не работает и это конечно означает, что проблема в випнет клиенте.

Share this post


Link to post
Share on other sites
3 часа назад, R.Sheyn сказал:

Ну конечно не в МЭ. У всей страны работает через что только возможно, через линуксы, домашние роутеры, циски, фортигейты и чекпоинты, даже через траффик инспекторы, только через коварный TMG не работает и это конечно означает, что проблема в випнет клиенте.

Ого - какой хороший, не пропускает всякие левые пакетики значит :-)))))

Я думаю они просто на 3-й версии до победного будут держаться, в принципе это возможно, но не правильно. 

Share this post


Link to post
Share on other sites

Спасибо товарищам, Zero и azz за подсказки. (остальные только флудят :) )
Поковыряюсь еще. По результатам отпишу.

 

Share this post


Link to post
Share on other sites
В 11.09.2018 в 06:01, AleksGhost сказал:

Спасибо товарищам, Zero и azz за подсказки. (остальные только флудят :) )
Поковыряюсь еще. По результатам отпишу.

 

Здравствуйте!

Возникла такая же проблема, только используется ISA Server 2006.

VipNet Client 4.3 без настроек межсетевого экрана не соединяется с координатором.

Вы не решили проблему?

Share this post


Link to post
Share on other sites

Если автор темы не решил проблему и заглянет снова, или кто то с такой же проблемой наткнется на эту ветку, то напишу какое решение для себя нашел.

В моем случае соединение с координатором не устанавливалось, так как ранее для работы с VipNet 3.2 были созданы правила на ИСЕ

1. Отправить udp 55777

2. получить udp 55777

В этом случае по логам данные шли от клиента к прокси, от него координатору, обратно на прокси и на этом все.

Создал другие правила вместо старых

1. отправить получить udp 55777

2. получить отправить udp 55777

И все заработало. Причем по логам видно что достаточно первого правила.

Так что зря ИСУ здесь ругали.

Share this post


Link to post
Share on other sites
30 минут назад, Success сказал:

Так что зря ИСУ здесь ругали.

Главное, чтобы не ругали ViPNet, он не виноват!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.